关于2010年市级政府信息系统

安全检查抽查阶段工作的情况通报

市各委办局，各辖市、区信息安全主管部门：

为加强政府信息系统安全检查工作，提高政府信息系统安全保障能力，进一步提高政府信息系统安全管理水平，依据《江苏省政府信息系统安全检查实施办法》（苏政办发〔2009〕51号），市网络与信息安全办（市经济和信息化委员会）会同有关部门，于今年8月启动了2010年市级政府信息系统安全检查。检查工作分为两阶段，第一阶段为各单位自查（8月）；第二阶段为集中抽查（9月上旬—中旬）。现将抽查阶段情况通报如下：

一、基本情况

9月7日至17日，市信息安全办、市公安局、保密局、密码管理局等部门共同成立了检查组，对光明棋牌,光明棋牌下载市信息中心、市文广新局、市体育局、市卫生局、市创意产业基地、市地税局、市烟草局、市规划局、市食品药品监管局、市科教城等10家单位进行了信息系统安全抽查。在抽查过程中，检查组认真听取了各单位第一阶段安全自查的实施情况汇报，重点围绕信息安全组织机构、日常信息安全管理、等级保护与风险评估、技术防护手段建设、应急管理工作开展、信息技术产品和信息安全产品使用、信息安全服务、信息安全教育培训、信息安全经费保障、安全隐患排查及整改等十个方面情况。实地查看了信息系统物理环境，组织技术人员对各单位信息系统进行了现场检测评估，并委托光明棋牌,光明棋牌下载瑞新网络科技有限公司对2市5区的政府门户网站进行了外部WEB安全测试。

二、总体评价

从抽查情况看，各单位能按照国家和省信息安全工作要求，重视并积极开展相关工作，落实安全管理制度和技术措施，努力提高信息安全防护能力。具体表现在：

（一）信息安全工作重视程度明显加强

各单位按照市政府要求，明确了信息安全工作主管领导、管理部门和信息安全员，建立制度规范，组织开展信息安全教育、培训。全市各单位和绝大部分重要信息系统、重点网站主要负责人对这次检查工作高度重视，认真研究自查要求，精心组织，周密部署，分解任务，责任到人，按要求组织开展了信息安全自查工作，形成了自查报告，对发现的问题，及时进行了整改。本次抽查中，市信息中心、文广新局等单位领导亲自参加了检查工作，听取检查组意见并推动落实整改措施。

（二）信息系统安全自查工作认真开展

   大多数单位能按照《2010年度光明棋牌,光明棋牌下载市政府信息系统安全检查实施方案》，认真组织开展本部门信息系统安全自查。部分单位还委托专业机构开展了信息安全风险评估、安全测评，对发现的安全漏洞和其他隐患进行了集中清理和整改，有效提升了信息系统安全防护能力。

（三）信息系统安全管理水平不断提高

各单位基本上制定了《重要岗位信息安全和保密责任制度》、《重要岗位人员安全保密协议》、《人员离职离岗信息安全管理规定》等关键的管理制度。管理制度基本覆盖信息安全日常管理的各个方面。大多数单位能按照信息安全工作要求，建立并落实信息安全和保密工作责任制，部分单位制定了专项应急预案，规范了信息安全事件应急响应与处置流程，定期组织相关人员进行应急演练，有效提高了应急处置能力。

（四）信息安全防范措施整体增强

大多数单位门户网站和重要业务系统都安装了防火墙、入侵检测等网络安全设备，能够定期对重要业务数据进行数据备份；防火墙、入侵检测系统、审计、网页防篡改等网络安全硬件、软件产品应用广泛，83.3%的单位部署边界防护产品防火墙。72.2%的单位部署了网页防篡改软件。部分单位能对系统账户、口令、软件等进行定期清理，对服务器的应用、服务、端口等进行定期检查，在门户网站部署了网页防篡改设施，对重要数据进行异地备份，防范和应对一般信息安全突发事件能力普遍提升。经检查，信息系统安全得分在80分以上的单位有：市信息中心、地税局、规划局；70—80分的单位有：卫生局、科教城、烟草局；70分以下的有：食品药品监管局、文广新局、体育局、创意产业基地。

但是，通过本次抽查也发现，市政府各部门信息系统安全保障工作中仍存在不少问题，主要表现在：

（一）信息安全意识有待进一步加强

     少数单位领导对信息安全工作重视不够，未按照信息安全工作要求，认真研究解决本单位信息安全工作中的实际问题，存在管理部门虚设、技术人员缺乏、安全措施不落实、安全经费无保障现象。个别部门截至抽查时，尚未组织开展本部门信息安全自查工作，系统存在严重安全隐患。

（二）信息安全管理缺乏长效机制

     一是表现为临时性，没有把信息安全工作贯穿信息系统建设、运维全过程，而是作为一项阶段性、临时性工作，缺乏规范的长效工作机制；二是表现为事后性，没有确立信息安全事前管理、风险管理的意识，未能按照有关规定，定期开展信息风险评估、等级测评等工作。

（三）信息系统安全状况亟需改善

政府网站是政府部门宣传政策方针、向社会公众提供服务、接受监督的重要媒介，对外交流互动的“窗口”。从今年网站外部安全测试情况看，本次检查2市5区的政府门户网站，共发现漏洞406个，其中高风险漏洞115个，占漏洞总数的28.3.%。溧阳市和金坛市政府的门户网站存在严重的安全隐患，钟楼区、天宁区、武进区、新北区、戚墅堰区政府的门户网站安全情况较好。从漏洞的类型看，SQL注入、跨站脚本、cookie欺骗为主。

另一方面相对于信息产品的使用情况来说，先进的信息安全管理手段、标准、方法仍然未被大部分单位掌握和使用。对信息安全产品依赖性强，“重技术、轻管理，重产品、轻维护”的现象十分突出，仅11.9%的信息系统进行等级保护测评工作，仅27.8%的系统已进行风险评估工作。等级保护和风险评估是我国信息安全工作的国家标准和规范。有关单位应切实加强对等级保护和风险评估标准、规范的学习，加深理解，结合本单位实际情况，运用等级保护和风险评估的理念、方法，切实做好本单位的信息安全工作。

（四）安全管理制度不健全、措施落实不到位

从现场检查的情况来看，部分单位制度的执行落后于制度的制定，存在“重制定，轻执行”的现象。未制订与制度配套的执行流程和操作记录。相关台账不完善。部分单位只重视机关内部信息安全管理，没有担负起本系统、本行业信息安全指导管理的职责。相当一部分单位运维管理制度不健全，重要信息系统无应急专项预案，对信息技术产品国产化、密码技术与产品使用未引起足够重视，信息安全问责制度尚未建立等。有些制度措施虽然明确了，但没有切实落到实处。

针对本次安全抽查中所发现问题，检查组在抽查时已向各单位作了现场反馈，并提出相应建议。请未列入本次抽查范围的单位，认真对照上述问题，进一步改进和完善本单位信息安全工作，切实做好信息系统安全自查，认真开展信息系统安全风险评估，抓紧整改所发现的问题，以实际行动确保全市政府信息系统安全。 

                             二○一○年十月十三日

扫一扫在手机打开当前页